先日、東京の大手町の最近できた大きなビルを訪問した際の話です。
エレベータに乗る前に警備員がいて、「どちらまで行かれますか?」と聞くので「○○社まで」と答えると、「この用紙に記入してください」と言われ、会社名や氏名を記入すると「はい、どうぞ」と通されました。記入した用紙のチェックもありませんし、見てもいない様子。しかも、用紙はそこで回収されるだけで、入館証のようなものを発行されることもありません。あとは、自由にどの階にでも行ける状態でした。
この警備員は何のために必要なのでしょうか? 恐らく入館した人を管理しているつもりなのかもしれませんが、まさに形式だけとしか思えません。外見でよほど怪しい、あるいは、そのビルに似つかわしくない人を体をはって阻止するくらいなら役に立つと思いますが、悪いことをしようとしている人には何の防止にも抑止にもなりません。むしろここから先もセキュリティは緩いのだろうと想像させるに十分な状態と言えます。
情報セキュリティマネジメントの監査でチェックされるものの一つに入退室の記録があります。多くの企業でノートに記載していることと思います。入退室をちゃんと管理していますという証拠として用いられるものですが、これにどれだけの意味があるのでしょう。サーバールームへ立ち入る際に、部屋に入ったところに置いてあるノートに書き込むとした場合に、何がセキュリティ上の役に立つのでしょうか。そもそも、悪いことをする人が、サーバーを盗んだり不正な操作をしたりする前に名前を書くわけがありません。入退室管理簿があるということと、セキュリティが守られていることとは、あまり関係がありません。
「努力している」「理想的ではないが一応最低限のことをやっている」ということが監査の対象であるかもしれませんが、本来あるべき姿でないことは明らかでしょう。サーバーのような重要なものが置いてある部屋への入退室管理であれば、監視カメラは必須で、生体認証などの強い認証が求められるでしょう。
データセンターなどでは、1人ずつしか入れない仕組みや、出るときも認証するようなシステムが採用されていることが珍しくありません。これと同じようなことを企業で全面的に採用することは困難であるとしても、せめて監視カメラの画像を十分な期間(例えば3年間以上)保存することによって、後日インシデントが発覚した場合にも有力な手がかりとなります。そして、ノートに記入するよりも、せめてICカードなどによる自動的な入退室の管理をするべきでしょう。
確かに、はじめから全部の対策ができないのであれば、代替策としてのノートへの記入はやむを得ないかもしれませんが、いつの間にかそれが当たり前となってしまうことが往々にしてあるのです。気が付いてみると、そのような形だけの管理はたくさんあることでしょう。ノートパソコンの管理簿や個人情報資産台帳なども多くの企業では手作業で行われ、それが情報セキュリティマネジメントであると考えられていることは少なくありません。
そして、形ばかりの対策に情熱を感じることも難しいですし、管理する側も管理される側も高いモチベーションもなく、なんとなく行われていて、いつの間にか履行率が低くなっていき、「真面目な人だけが記入」ということも珍しくありません。
このようなことを話題にすると、たいてい「うちにもそんなのあるよ」と言われます。管理のための管理になってしまい、有効なセキュリティ対策のための管理でなくなっている企業は少なくないのではないでしょうか。
本当にどれだけ有効なセキュリティ対策であるのか、ということを考えて、自動化などの投資を行うか、ムダな作業はやめてしまうなど、「自分で考えて決める」ということに取り組む時期に来たのではないでしょうか。
